Creación de un CMK

Prerrequisitos

Ha obtenido una cuenta y su contraseña para iniciar sesión en la consola de gestión.

La cuenta tiene KMS CMKFullAccess o permisos superiores.

Restricciones

• Puede crear hasta 100 CMK, excluyendo las claves maestras predeterminadas.
• Las claves simétricas se crean utilizando el algoritmo de encriptación y desencriptación AES-256. La clave tiene una longitud de 256 bits y se puede utilizar para cifrar y descifrar una pequeña cantidad de datos o claves de datos.
• Las claves asimétricas se crean utilizando algoritmos RSA o ECC. Las claves RSA se pueden utilizar para encriptación, desencriptación, la firma digital y la verificación de firmas. Las claves ECC solo se pueden utilizar para la firma digital y la verificación de firmas.
• Los alias de las claves maestras predeterminadas terminan con /default. Por lo tanto, al elegir alias para sus CMK, no utilice alias que terminen con/default.
• DEW no limita el número de veces que se puede llamar a un CMK.

Escenarios

• Encriptar datos en OBS.
• Encriptar datos en EVS.
• Encriptar datos en IMS.
• Encriptar una instancia de RDS DB.
• Encriptación y desencriptación directo de pequeños volúmenes de datos
• Encriptación y desencriptación de DEK para aplicaciones de usuario
• Las claves asimétricas se pueden utilizar para firmas digitales y verificación de firmas.

Creación de un CMK

1. Inicie sesión en la consola de gestión.
2. Haga clic en en la esquina superior izquierda de la consola de gestión y seleccione una región o proyecto.
3. Haga clic en . Elija Security & Compliance > Data Encryption Workshop.
4. Haga clic en Create Key en la esquina superior derecha.
5. Configure los parámetros en el cuadro de diálogo Create Key.
   Figura 1 Creación de una clave
   
   • Alias es el alias del CMK que se va a crear.
     

     • Puede introducir dígitos, letras, guiones bajos (_), guiones, dos puntos (:), y barras diagonales (/).
     • Puede introducir hasta 255 caracteres.
   • Key Algorithm: Seleccione un algoritmo de clave. Para obtener más información, consulte Tabla 1.

     Tabla 1 Algoritmos de clave soportados por KMS

     Tipo de clave	Tipo de algoritmo	Especificaciones clave	Descripción	Uso
     Symmetric key	AES	AES_256	Clave simétrica de AES	Cifra y descifra una pequeña cantidad de datos o claves de datos.
     Asymmetric key	RSA	RSA_2048 RSA_3072 RSA_4096	Contraseña asimétrica de RSA	Cifra y descifra una pequeña cantidad de datos o crea firmas digitales.
     	ECC	EC_P256 EC_P384	Curva elíptica recomendada por el NIST	Firma digital

   • Usage: seleccione SIGN_VERIFY o ENCRYPT_DECRYPT.
     • Para una clave simétrica, el valor predeterminado es ENCRYPT_DECRYPT.
     • Para claves asimétricas RSA, seleccione ENCRYPT_DECRYPT o SIGN_VERIFY. El valor predeterminado es SIGN_VERIFY.
     • Para una clave asimétrica ECC, el valor predeterminado es SIGN_VERIFY.
     

     The key usage can only be configured during key creation and cannot be modified afterwards.

   • (Opcional) Description es la descripción del CMK.
   • El parámetro Enterprise Project debe establecerse solo para usuarios empresariales.

     Si es un usuario de empresa y ha creado un proyecto de empresa, seleccione el proyecto de empresa necesario en la lista desplegable. El proyecto predeterminado es default.

     Si no se muestran opciones de Enterprise Management, no es necesario configurarlas.

     

     • Puede utilizar proyectos empresariales para gestionar los recursos de la nube y los miembros del proyecto. Para obtener más información acerca de los proyectos de empresa, consulte Guía de usuario de Enterprise Management.
     • Para obtener más información acerca de cómo habilitar la función de proyecto de empresa, consulte Habiltiación del centro de empresa

6. (Opcional) Agregue etiquetas al CMK según sea necesario e introduzca la clave de etiqueta y el valor de etiqueta.
   

   • Cuando se ha creado un CMK sin ninguna etiqueta, puede agregar una etiqueta al CMK más tarde según sea necesario. Haga clic en el alias del CMK, haga clic en la pestaña Tags y haga clic en Add Tag.
   • La misma etiqueta (incluyendo clave de etiqueta y valor de etiqueta) se puede usar para diferentes CMK. Sin embargo, bajo el mismo CMK, una clave de etiqueta puede tener solo un valor de etiqueta.
   • Se puede añadir un máximo de 20 etiquetas para un CMK.
   • Si desea eliminar una etiqueta de la lista de etiquetas al agregar varias etiquetas, puede hacer clic en Delete en la fila donde se encuentra la etiqueta que se va a agregar para eliminarla.

7. Haga clic en OK. Aparece un mensaje en la esquina superior derecha de la página, indicando que la clave se ha creado correctamente.

   En la lista CMK, puede ver las CMK creadas. El estado predeterminado de un CMK es Enabled.

Operaciones relacionadas

• Para obtener más información acerca de cómo cargar objetos con encriptación del servidor, consulte la sección Uploading a File with Server-Side Encryption en la Object Storage Service Console Operation Guide.
• Para obtener más información sobre cómo cifrar datos en discos EVS, consulte la sección Compra de un disco EVS en la Guía del usuario de Elastic Volume Service.
• Para obtener más información acerca de cómo cifrar imágenes privadas, consulte la sección Encriptación de un imagen en la Guía de usuario de Image Management Service.
• Para obtener detalles acerca de cómo cifrar discos para una instancia de base de datos en RDS, consulte la sección "Compra de una instancia" en la Guía de usuario de Relational Database Service.
• Para obtener más información sobre cómo crear un DEK y un DEK sin texto plano, consulte las secciones "Creación de un DEK" y "Creación de un DEK sin texto plano" en la Referencia de API de Data Encryption Workshop.
• Para obtener detalles sobre cómo cifrar y descifrar un DEK para una aplicación de usuario, consulte las secciones "Encriptación de un DEK" y "Desencriptación de un DEK" en la Referencia de API de Data Encryption Workshop.